在现有集群上启用实施

本指南介绍如何在现有 Google Kubernetes Engine (GKE) 集群上启用 Binary Authorization 实施。

准备工作

在使用本指南之前,请执行以下操作:

  1. 创建标准 GKE 集群。如需详细了解如何创建标准集群,请参阅创建可用区级集群创建区域级集群
  2. 启用 Binary Authorization API

启用实施

如需启用实施,请执行以下步骤:

控制台

  1. 在 Google Cloud 控制台中,转到 GKE 页面:

    转到 GKE

  2. Kubernetes 集群列表中,点击您的集群的名称。

  3. 安全性下的 Binary Authorization 行中,点击修改图标 ()。

  4. 修改 Binary Authorization 对话框中,选中启用 Binary Authorization 复选框,然后点击保存更改

gcloud

对于可用区级集群,请输入以下命令:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

请替换以下内容:

  • NAME:要启用 Binary Authorization 的 GKE 集群的名称。
  • ZONE:集群所在的可用区。

集群可以启用 Binary Authorization 强制执行和 CV 监控。要更改 CV 监控和强制执行设置,请将 --binauthz-evaluation-mode 设置为以下值之一:

  • POLICY_BINDINGS:仅启用 CV 监控,并停用现有强制执行政策(如果有)
  • PROJECT_SINGLETON_POLICY_ENFORCE:仅启用强制执行并停用 CV 监控(如果之前已启用)
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE:同时启用强制执行和 CV 监控

如需详细了解 CV 政策和集群管理,请参阅管理 CV 平台政策

或者,对于区域级集群,请输入以下命令:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

请替换以下内容:

  • NAME:要启用 Binary Authorization 的 GKE 集群的名称。
  • REGION:集群所在的区域。

集群可以启用 Binary Authorization 强制执行和 CV 监控。要更改 CV 监控和强制执行设置,请将 --binauthz-evaluation-mode 设置为以下值之一:

  • POLICY_BINDINGS:仅启用 CV 监控,并停用现有强制执行政策(如果有)
  • PROJECT_SINGLETON_POLICY_ENFORCE:仅启用强制执行并停用 CV 监控(如果之前已启用)
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE:同时启用强制执行和 CV 监控

如需详细了解 CV 政策和集群管理,请参阅管理 CV 平台政策

后续步骤